
ที่มาภาพ: BleepingComputer
RedHook แพร่พิลึกด้วย Wireless ADB ทำให้มาลแวร์เข้าถึงเชลล์ Android ได้โดยไม่ต้องเชื่อมต่อ USB
⚡ สรุป 30 วิ
RedHook เวอร์ชันใหม่ใช้ฟีเจอร์ Wireless ADB ของ Android เพื่อเชื่อมต่อผ่าน Wi‑Fi ส่งคำสั่ง shell ไปยังอุปกรณ์โดยไม่ต้องสาย USB…
RedHook เวอร์ชันใหม่ที่เจาะจุด **Wireless ADB (Android Wireless Debugging) ทำให้มัลแวร์สามารถเข้าถึงระดับเชลล์โดยไม่ต้องเชื่อมต่อกับคอมพิวเตอร์ การเปลี่ยนแปลงนี้เพิ่มความซับซ้อนของการโจมตีบนระบบ Android และทำให้นักวิจัยด้านความปลอดภัยต้องทบทวนแนวทางการตรวจจับและบล็อกมัลแวร์ในเครือข่ายไร้สาย
Overview
RedHook เป็นกลุ่มมัลแวร์ที่เคยใช้เทคนิคการเจาะระบบผ่านช่องโหว่ของ Android Debug Bridge (ADB) ที่ต้องอาศัยการเชื่อมต่อโดยตรงกับคอมพิวเตอร์เพื่อรันคำสั่งระดับระบบ ในเวอร์ชันล่าสุด ผู้โจมตีได้เปลี่ยนวิธีการเข้าถึงเป็นการใช้ Wireless ADB** ซึ่งทำงานผ่าน Wi‑Fi ทำให้สามารถควบคุมอุปกรณ์ Android ได้แม้ไม่มีสาย USB เชื่อมต่อ
ตามรายงานของผู้เชี่ยวชาญด้านความปลอดภัย RedHook เวอร์ชันใหม่นี้ยังคงรักษาความสามารถเดิมในการดาวน์โหลดและรันไฟล์ที่เป็นอันตราย รวมถึงการขโมยข้อมูลส่วนบุคคล แต่การเพิ่มช่องทาง Wireless ADB ทำให้ขั้นตอนการติดตั้งลดลงและอาจหลบเลี่ยงระบบตรวจจับบางประเภทได้ง่ายขึ้น
How the Exploit Works
การทำงานของ RedHook ผ่าน Wireless ADB มีลำดับขั้นตอนหลักดังต่อไปนี้
- เปิดใช้งาน Wireless Debugging บนอุปกรณ์เป้าหมาย ผู้โจมตีอาจใช้วิธีหลอกผู้ใช้ให้เปิดฟีเจอร์นี้ผ่านแอปพลิเคชันที่ดูเหมือนปลอดภัย
- สแกนหาที่อยู่ IP ของอุปกรณ์ โดยใช้เครือข่ายเดียวกันเพื่อค้นหาเครื่องที่เปิดพอร์ต ADB (โดยทั่วไปคือ 5555)
- เชื่อมต่อผ่าน ADB over Wi‑Fi เพื่อส่งคำสั่ง shell ไปยังอุปกรณ์โดยตรง
- รันโค้ดที่เป็นอันตราย เช่น ดาวน์โหลดไฟล์เพิ่มเติมหรือสร้างผู้ใช้ระดับ root บนอุปกรณ์
วิธีการนี้ไม่ต้องพึ่งพาการเชื่อมต่อ USB ทำให้ขั้นตอน “จับมือ” ระหว่างอุปกรณ์และคอมพิวเตอร์หายไป และเปิดโอกาสให้มัลแวร์สามารถทำงานได้ทันทีหลังจากที่ผู้ใช้ยินยอมเปิด Wireless Debugging
Capabilities & Payloads
แม้ช่องทางการเข้าถึงจะเปลี่ยนเป็น Wireless ADB แต่ ฟังก์ชันหลักของ RedHook ยังคงไม่แตกต่างมากนัก จากข้อมูลที่เผยแพร่ พบว่ามัลแวร์ยังคงสามารถทำสิ่งต่อไปนี้ได้
- ดาวน์โหลดและติดตั้งไฟล์ APK ที่มาพร้อมกับโค้ดสปายเวอร์หรือ ransomware
- ขโมยข้อมูลผู้ใช้ เช่น รายชื่อผู้ติดต่อ, SMS, และรายละเอียดการเข้าสู่ระบบจากแอปที่เก็บไว้ในเครื่อง
- ส่งคำสั่ง shell เพื่อเพิ่มสิทธิ์ระดับ root หรือเปลี่ยนแปลงการตั้งค่าระบบโดยไม่ได้รับอนุญาต
ความสามารถเหล่านี้ทำให้ RedHook ยังคงเป็นภัยคุกคามต่อผู้ใช้ทั่วไปและองค์กรที่พึ่งพาอุปกรณ์ Android เป็นส่วนหนึ่งของโครงสร้างพื้นฐานด้านไอที
Detection & Mitigation
การตรวจจับ RedHook ที่ใช้ Wireless ADB จำเป็นต้องเพิ่มมุมมองจากเครือข่ายไร้สายเข้าไปด้วย ผู้ให้บริการแอนตี้ไวรัสหลายรายได้อัปเดตลายเซ็นและพฤติกรรมเพื่อสังเกตการเชื่อมต่อ ADB ผ่าน Wi‑Fi ที่ไม่ได้รับการยินยอม
แนวทางป้องกันที่แนะนำโดยผู้เชี่ยวชาญรวมถึง
- ปิด Wireless Debugging หากไม่จำเป็นใช้งาน หรือเปิดใช้เฉพาะเมื่อทำงานกับนักพัฒนาแล้วปิดทิ้งทันทีหลังเสร็จ
- ตรวจสอบรายการอุปกรณ์ที่มีการเชื่อมต่อ ADB ในเมนู “Developer options” และลบการเชื่อมต่อที่ไม่รู้จักออกโดยเร็ว
- ใช้แอปจัดการสิทธิ์ของระบบ (Mobile Device Management) เพื่อตรวจจับและบล็อกพอร์ต 5555 บนอุปกรณ์ที่อยู่ในเครือข่ายเดียวกัน
การทำตามขั้นตอนเหล่านี้สามารถลดความเสี่ยงจาก RedHook ที่ใช้ช่องทาง Wireless ADB ได้อย่างมีประสิทธิภาพ
Impact
การเปลี่ยนแปลงของ RedHook ไปสู่การโจมตีผ่าน Wireless ADB มีผลกระทบต่อหลายกลุ่มผู้ใช้งาน ทั้งบุคคลทั่วไปที่อาจไม่รับรู้ถึงการเปิดฟีเจอร์นี้ และองค์กรที่จัดหาอุปกรณ์ Android ให้พนักงานโดยไม่มีการควบคุมระดับความปลอดภัยของโหมดดีบัก
ตามข้อมูลจากบริษัทด้านความปลอดภัยไซเบอร์ จำนวนเหตุการณ์โจมตีที่ตรวจพบเพิ่มขึ้นประมาณ 20% ในช่วงสองเดือนแรกหลังเปิดตัวเวอร์ชันใหม่ แม้ว่าจะยังไม่มีข้อมูลเชิงสถิติเต็มรูปแบบ แต่แนวโน้มดังกล่าวบ่งบอกถึงการปรับตัวของผู้โจมตีต่อมาตรการป้องกันที่มีอยู่แล้ว
Summary
RedHook เวอร์ชันล่าสุดใช้ Wireless ADB เพื่อเข้าถึงระดับเชลล์บนอุปกรณ์ Android โดยไม่ต้องพึ่งพาการเชื่อมต่อ USB ทำให้ช่องทางการโจมตีเพิ่มความซับซ้อนและยากต่อการตรวจจับ การปิด Wireless Debugging เมื่อไม่ใช้งานและการเฝ้าระวังพอร์ต ADB เป็นวิธีหลักที่แนะนำเพื่อลดความเสี่ยงจากภัยคุกคามนี้.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- RedHook Android malware now uses Wireless ADB for shell access
- ผู้เขียน
- Bill Toulas
- แหล่ง
- BleepingComputer
- วันที่เผยแพร่
- 12 กรกฎาคม 2569 เวลา 21:27



